与高管们认真对待物联网安全问题
连接设备的安全性是一个很热门的话题。违规会成为头条新闻、令客户不满、罚款和解雇。因此,如果你正在考虑一个物联网项目,你的老板迟早会问你在安全方面做了什么。以下是一些你应该谈论的事情。
首先,不用说,大多数管理人员对深入研究协议、架构或加密不是很感兴趣。这些细节问题!但你与首席执行官的对话可能不是展示你对物联网安全技术深厚知识的最佳时机。
成功的投资
在数字化转型和相关的新型商业模式和服务的背景下,物联网对您的组织很重要。它是新的收入来源,节约成本,或者两者兼而有之。如果你不能把物联网项目和金钱联系起来,也许你不应该去做它。
也要和保安谈钱。安全需要投资。这是预算的。在物联网安全方面,很多人只是嘴上说说而已。需要美元吗?并非如此。安全不是免费的。失败也不是免费的。然而,在安全方面缺乏投资实际上等同于投资失败。
物联网安全不同
强调,物联网安全并非像往常一样。哦,在某些方面是这样的。安全措施应该内置,而不是用螺栓固定。您需要系统地管理内部人员、合作伙伴和客户的访问权限。安全仍然是关于限制和遏制由系统故障和成功渗透造成的损害。
但物联网也引入了新的攻击载体,并在出现问题时放大后果。充分利用物联网意味着在默认情况下连接的设备要多得多,收集的数据也要多得多。软件已经嵌入到许多关键系统中。但物联网用软件驱动的控制取代了许多手动和断开连接的控制,这些控制可以直接大规模地影响物理世界。
综上所述,不难看出在物联网安全方面投资不足会带来严重后果。
管理风险
与此同时,过分关注消除风险会导致瘫痪。目标应该是管理风险。
这意味着以编程的方式考虑整个系统。将特定组件连接到网络有什么好处?收集特定类型的数据有什么好处?
那么风险是什么呢?
也许你没有将物理基础设施的关键部分连接到互联网上。也许发电厂不需要上线。这些讨论通常需要在采购过程的早期就开始。他们驱动你向供应商提出的要求。这通常又回到了钱的问题上。你打算花多少钱来改善针对特定类型组件的安全措施?
监管机构问题
作为风险管理的一部分,了解哪些法规可以适用。当收集和存储第三方数据(如客户信息)时,这一点尤其重要。
例如,各种规则规定了如何收集和存储个人数据。也许最值得注意的是《一般资料保障规例》在欧盟。这除其他外,要求数据的使用应限于要求数据的目的。
数据主权规则可能会限制某些类型的数据存储到特定的国家或地区。
这是一场漫长的比赛
强调实施和维护物联网安全是一项长期承诺。
工业物联网系统中使用的许多设备的生命周期可达几十年。它们在其生命周期中都需要维护,而维护需要包括它们的软件,因为未打补丁的软件是不安全的软件。在许多情况下,这要求制造商提供软件更新。(采购谈判中还有一个问题。)
当然,有些软件系统本身已经存在很长时间了。但是今天,总体的预期是软件越来越容易被抛弃。与信息技术相比,物联网的变化速度和生命周期更符合操作技术(OT)。(尽管随着软件在几乎所有工业系统中扮演越来越重要的角色,OT的步伐正在加快,以与IT相适应。)
结束
当你总结关于物联网安全的执行简报时,这是一个很好的结尾。在一些重要的方面,物联网处于它和OT的收敛性。它分享了It消费化的方方面面:改进的用户体验、新型服务、快速发展。但它也涉足了加速发展的加时赛世界,这给它带来了对可靠性、安全性以及安全的强烈期望。
所有IoT Agenda网络贡献者都对其帖子的内容和准确性负责。意见是作者的,不一定传达物联网议程的想法。